Обновление DNS-сервера BIND 9.11.22, 9.16.6, 9.17.4 с устранением 5 уязвимостей

1 месяц ago
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.22 и 9.16.6, а также находящейся в разработке экспериментальной ветки 9.17.4. В новых выпусках устранено 5 уязвимостей. Наиболее опасная уязвимость (CVE-2020-8620) позволяет удалённо вызвать отказ в обслуживании через отправку определённого набора пакетов на TCP-порт, на котором принимает соединения BIND. Отправка на TCP-порт аномально больших запросов AXFR, может привести к тому, что обслуживающая TCP-соединение библиотека libuv передаст серверу размер, приводящий к срабатыванию проверки assertion и завершению процесса.

Microsoft портировал подсистему WSL2 (Windows Subsystem for Linux) в Windows 10 1903 и 1909

1 месяц ago
Компания Microsoft объявила о предоставлении поддержки подсистемы WSL2 (Windows Subsystem for Linux) в выпусках Windows 10 - 1903 и 1909, сформированных в мае и ноябре прошлого года. Изначально подсистема WSL2, обеспечивающая запуск исполняемых файлов Linux в Windows, была предложена в выпуске Windows 10 2004. Теперь Microsoft перенёс данную подсистему в прошлые обновления Windows 10, которые остаются актуальными и используются на многих предприятиях. Портирование в данные выпуски WSL2 позволит организовать эффективное выполнение Linux-окружения без необходимости перехода на Windows 10 2004 (сопровождение выпусков 1903 и 1909 продлится до декабря 2020 года и мая 2022 года).

Разработчики Chrome экспериментируют с языком программирования Rust

1 месяц ago
Разработчики Chrome экспериментируют с использованием языка Rust. Работа ведётся в рамках инициативы по предотвращению появления ошибок работы с памятью в кодовой базе Chrome. В настоящее время работа ограничивается созданием прототипов средств для использования Rust. Первой задачей, которую необходимо решить до того, как начать полноценно использовать Rust в кодовой базе Chrome, называется обеспечение переносимости между кодом на C++ и Rust.

Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет

1 месяц ago
Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа.

Доступен Solaris 11.4 SRU24

1 месяц ago
Опубликовано обновление операционной системы Solaris 11.4 SRU 24 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду 'pkg update'.

Уязвимость в интерфейсе мониторинга Icinga Web

1 месяц ago
Опубликованы корректирующие выпуски пакета Icinga Web 2.6.4, 2.7.4 и v2.8.2, предоставляющего web-интерфейс для системы мониторинга Icinga. В предложенных обновлениях устранена критическая уязвимость (CVE-2020-24368), позволяющая неаутентифицированному атакующему получить доступ к файлам на сервере с привилегиями процесса Icinga Web (обычно пользователь, под которыми выполняется http-сервер или fpm).

Атака на пользователей почтовых клиентов при помощи ссылок "mailto:"

1 месяц ago
Исследователи из Рурского университета в Бохуме (Германия) проанализировали (PDF) поведение почтовых клиентов при обработке ссылок "mailto:" с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра "attach". Ещё шесть почтовых клиентов были подвержены атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений.

Релиз дистрибутива для исследования безопасности Kali Linux 2020.3

1 месяц ago
Состоялся релиз дистрибутива Kali Linux 2020.3, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлены несколько вариантов iso-образов, размером 430 МБ, 2.9 ГБ и 3.7 ГБ. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). По умолчанию предлагается рабочий стол Xfce, но опционально поддерживаются KDE, GNOME, MATE, LXDE и Enlightenment e17.

Qt 6 в Debian может оказаться без сопровождения

1 месяц ago
Текущие мэйнтейнеры пакетов с фреймворком Qt в Debian приняли решение своими силами не обеспечивать сопровождение следующей значительной ветки Qt 6, релиз которой запланирован на декабрь. При этом сопровождение прошлой ветки Qt 5 будет продолжено без изменений. Поставка Qt 6 в Debian будет обеспечена, если найдутся новые сопровождающие, готовые на должном уровне обеспечить поддержку пакетов с новой веткой.

Mozilla расширила программу выплаты вознаграждений за выявление уязвимостей

1 месяц ago
Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов.

Анонсировано создание независимой от Mozilla организации Rust Foundation

1 месяц ago
Основная команда разработчиков языка Rust (Rust Core Team) и компания Mozilla объявили о намерении до конца года создать независимую некоммерческую организацию Rust Foundation, которой будут передана связанная с проектом Rust интеллектуальная собственность, в том числе торговые марки и доменные имена, ассоциируемые с Rust, Cargo и crates.io. Организация также будет отвечать за организацию финансирования проекта.

Выпуск игры OpenRCT2, предлагающей симулятор парка аттракционов

1 месяц ago
Опубликована новая версия проекта OpenRCT2, развивающего открытую реализацию стратегической игры RollerCoaster Tycoon 2, симулирующей конструирование парка развлечений и управление им. Код OpenRCT2 поставляется под лицензией GPLv3. Новый выпуск примечателен поддержкой подключения собственных плагинов на JavaScript, возможностью импорта сценариев в формате ".sea" (RCT Classic), реализацией некоторых возможностей из первой игры RollerCoaster Tycoon.

Доступна редакция дистрибутива MX Linux 19.2 с рабочим столом KDE

1 месяц ago
Представлена новая редакция дистрибутива MX Linux 19.2, поставляемая с рабочим столом KDE (в основной редакции поставляется Xfce). Это первая официальная сборка с рабочим столом KDE в семействе MX/antiX, созданная после сворачивания проекта MEPIS в 2013 году. Напомним, что дистрибутив MX Linux создан в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и многочисленными собственными приложениями, облегчающими настройку и установку ПО. Для загрузки доступна 64-разрядная сборка, размером 2.1 GB (x86_64).

Выпуск дистрибутива Parrot 4.10 с подборкой программ для проверки безопасности

1 месяц ago
Доступен релиз дистрибутива Parrot 4.10, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены несколько iso-образов с окружением MATE (полный 4.2 ГБ и сокращённый 1.8 ГБ), с рабочим столом KDE (2 ГБ) и с рабочим столом Xfce (1.7 ГБ).

В Chrome 86 появится защита от небезопасной отправки web-форм

1 месяц ago
Компания Google сообщила о появлении в будущем выпуске Chrome 86 защиты от небезопасной отправки web-форм. Защита касается форм, отображаемых на страницах, загруженных по HTTPS, но отправляющих данные без шифрования по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Для подобных смешанных web-форм реализовано три изменения.

Релиз видеоредактора Kdenlive 20.08

1 месяц ago
Разработчики проекта KDE опубликовали релиз видеоредактора Kdenlive 20.08, который позиционируется для полупрофессионального использования, поддерживает работу с видеозаписями в форматах DV, HDV и AVCHD, и предоставляет все базовые операции по редактированию видео, например, позволяет используя шкалу времени произвольно смешивать видео, звук и изображения, а также применять многочисленные эффекты. При работе программы используются такие внешние компоненты, как FFmpeg, фреймворк MLT и система оформления эффектов Frei0r. Для установки подготовлен самодостаточный пакет в формате AppImage.

Notepad++ заблокирован в Китае

1 месяц ago
Разработчики Notepad++, свободного (GPLv3) редактора кода для платформы Windows, сообщили о введении блокировки страницы загрузки проекта на территории Китая. Несмотря на поддержку только платформы Windows, редактор Notepad++ пользуется большой популярностью у пользователей Ubuntu и занимает 5 место среди самых популярных snap-пакетов для разработчиков (запускается через Wine).

Взлом сборочного сервера и компрометация репозиториев сообщества Libretro, развивающего RetroArch

1 месяц ago
Сообщество Libretro, занимающееся разработкой эмулятора игровых консолей RetroArch и дистрибутива для создания игровых консолей Lakka, предупредило о взломе элементов инфраструктуры проекта и вандализме в репозиториях. Злоумышленники смогли получить доступ к сборочному серверу (buildbot) и репозиториям на GitHub.

Представлен браузерный движок Kosmonaut, написанный на языке Rust

1 месяц ago
В рамках проекта Kosmonaut развивается браузерный движок, написанный целиком на языке Rust и использующий некоторые наработки проекта Servo. Код распространяется под лицензией MPL 2.0 (Mozilla Public License). Для отрисовки используются OpenGL-привязки gl-rs на языке Rust. Управление окнами и создание контекста OpenGL реализовано силами библиотеки Glutin. Для разбора HTML и CSS применяются компоненты html5ever и cssparser, развиваемые проектом Servo.
Checked
22 минуты 11 секунд ago
OpenNews - Новости мира открытых систем (Общая лента новостей)
Подписаться на лента opennet